KR20040013178A - 바이러스 메일 차단 방법 및 시스템 - Google Patents
바이러스 메일 차단 방법 및 시스템 Download PDFInfo
- Publication number
- KR20040013178A KR20040013178A KR1020020045991A KR20020045991A KR20040013178A KR 20040013178 A KR20040013178 A KR 20040013178A KR 1020020045991 A KR1020020045991 A KR 1020020045991A KR 20020045991 A KR20020045991 A KR 20020045991A KR 20040013178 A KR20040013178 A KR 20040013178A
- Authority
- KR
- South Korea
- Prior art keywords
- virus
- content
- contents
- separates
- Prior art date
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 83
- 230000000903 blocking effect Effects 0.000 title description 7
- 238000000034 method Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 claims 1
- 229960005486 vaccine Drugs 0.000 abstract description 6
- 230000009385 viral infection Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 인터넷 및 무선망 등과 같은 통신망을 통하여 전달되는 전자 메일에 의하여 유포되는 바이러스를 차단하기 위한 시스템 및 방법에 관한 것으로서, 메일의 본문을 분석하여 내용 중에 바이러스가 포함되어 있는 메일을 감지하여 별도의 바이러스 치료 프로그램이 없이도 바이러스 메일을 원천적으로 차단한다.
Description
본 발명은 바이러스 메일 차단 시스템 및 방법에 관한 것으로, 특히 유무선 통신망을 통해 발송되는 바이러스를 포함하고 있는 메일을 구별하여 사용자 컴퓨터의 바이러스 감염을 원천적으로 차단하기 위한 시스템 및 방법에 관한 것이다.
바이러스 메일이란, 이메일을 통하여 사용자의 컴퓨터를 감염시키는 바이러스 프로그램를 포함하고 있거나 이러한 전자 바이러스를 구동시키는 특정 코드를 포함하고 있는 메일을 의미한다. 예를 들어, 바이러스가 감염된 메일의 수신자가 메일을 열어 볼 경우 자동적으로 수신자 컴퓨터의 시스템이나 파일을 파괴하며 수신자의 주소록에 등록된 모든 이메일 계정으로 수신자 이름으로 감염된 메일을 자동으로 송신하는 형태의 바이러스가 이에 속하며, 최근 빠른 확산과 수신자의 컴퓨터 시스템이나 파일을 파괴하는 악성 바이러스가 속속 출현하고 있다. 따라서 이러한 바이러스로부터 수신자의 컴퓨터와 파일을 보호하기 위하여 다양한 메일 바이러스 검사 및 치료 프로그램이 출시되고 있다.
도 1은 종래 바이러스 백신 프로그램을 적용하는 방식의 바이러스 메일 치료 프로그램의 적용 개념도이다. 먼저 수신측의 메일 서버에 메일이 도착하게 되면(101) 바이러스를 치료하는 백신프로그램(102)을 구동하게 되고, 바이러스 포함 유무를 판단(103) 하여 바이러스를 포함하지 않으면 정상적으로 수신(104)하게 되고, 바이러스가 포함되어 있다면 바이러스를 치료하거나 삭제하는 바이러스 처리(105) 과정을 거치게 된다.
종래 방법으로는 바이러스 메일을 원천적으로 차단 또는 구분해 내는 것이 불가능한데, 바이러스 검사용 소프트웨어인 바이러스백신프로그램은 자체 데이터베이스를 이용하여 이미 알려져 있는 바이러스 패턴 만을 검사하기 때문에 항시 최신 데이터베이스를 사용하지 않으면 안되고, 최신 데이터베이스는 바이러스 감염이 보고되어 분석이 된 다음에 나오기 때문에 신종 바이러스를 포함하고 있는 메일의 경우에는 그 치료가 불가능하기 때문이다.
따라서, 상기 문제점을 해결하기 위하여 본 발명은 메일의 본문을 분석하여 바이러스를 포함하고 있는 이메일을 분석, 분리하고 차단하여 내어 수신자를 바이러스 감염으로부터 원천적으로 보호하는 방식과 시스템을 고안하고자 한다.
도 1 종래 바이러스 백신 프로그램 방식의 바이러스 메일 치료 프로세스 순서도
도 2 이메일을 구성하는 각 부분을 나타내는 구성도
도 3 본 발명에 따른 바이러스 메일 차단기의 동작 원리를 나타내는 순서도와 기능 구성도
도 4 바이러스 메일 차단기가 적용된 수신측의 메일 시스템 구성을 나타내는 블록도,
만일 바이러스를 포함하고 있는 메일에 반드시 포함되는 특정 패턴이 있고 이를 분석해 낼 수 있다면 바이러스 메일이 전송되어 올 때 해당 메일을 바이러스 메일로 분류하여 바이러스 치료 또는 삭제 또는 수신차단 함으로써 사용자의 컴퓨터와 파일을 바이러스로부터 보호할 수 있을 것이다.
도 2는 본 발명의 원리를 이해하기 위하여 제시하는 일반적인 이메일의 구성을 보여준다. 수신된 이메일(s200)을 부분으로 분석하면 크게 Header(s210)과 Body(s220)로 분리될 수 있으며, Body(s220)는 다시 Message Part(s221)와 여러 개의 Content(s223)를 보유한 Contents Part(s222)으로 나뉠 수 있으며, 메일에 따라서는 Contents Part(s222)가 존재하지 않을 경우도 있다.
전송된 메일 중에 포함된 Content(s223) 부분은 IETE(Internet Engineering Task Force)에서 규약하고 있는 RFC2392: Content-ID and Message-ID Uniform Resource Locator 규약에 의거하여 Content-Type의 name 정의와 Content-ID에 대한 정의가 포함되어 있을 수 있는 데, 모든 바이러스 메일에 포함된 Contents Part(s222) 중 바이러스 부분을 포함하고 있는 Content(s223)에는, Content-Type의 name 정의에 *.exe, *.bat, *.lnk, *.scr 등의 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있으면서 동시에 Content-ID 값이 존재하는 조건을 만족시킨다. 따라서 이러한 조건은 어떤 종류의 바이러스 메일에 있어서도 동일하게 적용되는 것이므로 바로 이런 점이 바이러스 메일을 구분 지을 수 있는 특정 패턴이 된다.
바이러스 메일이 아니라 정상적으로 송신자가 발송한 메일이 상기한 조건을 적용하여 바이러스 메일로 분류될 수 있는 경우는 원천적으로 존재하지 않는다. 예를 들어, 송신자의 필요에 의하여 실행 가능한 파일이 첨부된 상태로 보낸 메일의 경우, 해당 메일에 포함된 첨부 파일 부분에 해당하는 Content(s223)부분에는 비록 Content-Type의 name 정의에 실행 가능한 확장자를 보유한 파일 이름이 포함되기는 하지만 Content-ID 값을 가지지 않는다. 또 다른 예로서 그림 파일 등을 첨부가 아닌 메일 내의 Content(s223)로 삽입하여 발송된 메일의 경우, 해당하는 Content(s223)부분에는 Content-ID 값이 존재하기는 하나 Content-Type의 name 정의가 존재하지 않거나 실행 가능한 확장자를 포함하고 있지 않다. 따라서 바로 상기한 두 개의 조건, 즉, Content-Type의 정의에 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있는 가 그리고 Content-ID 값이 존재하는 가에 모두 적용되는 메일은 바로 바이러스 메일이라고 판단할 수 있다.
본 발명은 상기한 점을 발견하고 이에 근거하여 착안한 것으로서, 본 발명에 따른 바이러스 메일 차단 시스템은 수신자 측의 메일 서버에 수신된 이메일로부터 Header와 Body를 분리해 내는 Header/Body분리기, 분리된 Body로부터 Message와 Contents를 분리해 내는 Message/Contents분리기, Contents부분 중에서 file name 또는 name 항목이 있는 Content를 분리해 내는 세부Content추출기, Content-Type의 name 정의에 실행 가능한 확장자 문자를 포함하고 있는 지와 Content-ID 값이 존재하는 지를 검색하고 검사하는 바이러스탐지기, 검사된 메일을 정상적인 메일로 분류하여 수신자의 메일 수신을 허용하거나 바이러스에 감염된 메일로 분류하여 차단 또는 삭제시키는 메일처리기, 그리고 경우에 따라 외부에서 제공되는 바이러스백신프로그램을 포함한다. 본 발명의 바이러스 메일 차단 시스템은 바이러스탐지기의 요구에 따라 메일처리기가 바이러스 메일을 처리함으로써 이를 통한 사용자 컴퓨터 시스템 또는 파일의 바이러스 감염을 차단한다.
이하 본 발명의 원리와 실시 예를 첨부된 도면을 참조하여 더욱 상세히 설명한다.
도 3은 본 발명의 바람직한 실시 예에 따른 바이러스 메일 차단기의 동작원리와 기능모듈의 구성을 보여준다.
Header/Body분리기(310)는 수신측의 메일서버 또는 메일클라이언트(300)에 메일이 도착하게 되어 메일이 수신되었을 때 수신메일(301)의 Header와 Body를 분리(310)하는 기능을 함으로써 메일에 대한 분석을 시작한다.
Message/Contents분리기(320)은 분리되어 얻어진 Body 부분을 다시 Message Part와 Contents Part로 분리하는 기능(321)을 하고, 만일 Contents Part가 존재하게 되면 해당 Contents Part 부분을 세부Content추출기(330으로 전달해 주는 조건검사단계(322)를 포함하고 있다.
세부Content추출기(330)은 Contents Part안에 포함되어 있는 여러 개의 Content를 부분별로 분리하고 각 Content의 Content-Type 정의 부분과 Content-ID 정의 부분을 추출하여 낸다.
바이러스탐지기(340)는 추출된 각각의 세부 Content 정보에 포함되어 있는 Content-Type의 name 정의에 명기된 파일이름에 실행 가능한 확장자가 있는 지를 분석(341)하고 Content-ID 값의 존재 유무를 검사(342)하게 된다. 이 때 Content-Type의 name 정의에 실행가능 확장자를 가진 구문이 존재함과 동시에 Content ID가 존재하게 되면 해당 메일을 바이러스 메일로 판단하고, 이러한 정보를 메일처리기(360)으로 전달하여 해당 메일을 차단 또는 삭제하거나 포함되어 있는 바이러스를 치료하도록 한다. 바이러스탐지기(340)에서 감지하게 되는 실행 가능한 확장자는 윈도우 운영체제에서 실행파일의 확장자로 사용하는 .exe, .com, .bat, .lnk, .scr, .pif 등이 있으며 이 이외에도 각 운영체제마다 고유하게 사용하는 실행파일을 가리키는 특정 단어 또는 구문이다.
바이러스백신프로그램(a350)은 바이러스탐지기(340)에 포함된 두 개의 조건검사단계(341, 342)를 거친 이메일에 바이러스가 포함되어 있는 지를 검사하며, 바이러스를 검사(a351)하고 바이러스가 존재하는 지를 판단하여(a352) 메일의 수신을 허용할 것인지 또는 바이러스 메일로 판단하게 할 것인지의 정보를 메일처리기(360)으로 전달한다. 단, 바이러스백신프로그램(a350)은 이미 알려져 있는 바이러스 패턴과 치료방법을 담은 데이터베이스로서 반드시 본 발명의 바람직한 예에 포함되지 않을 수도 있다.
메일처리기(360)는 바이러스탐지기(340) 또는 바이러스백신프로그램(a350)으로부터 전달 받은 바이러스 존재 유무에 대한 정보에 따라 바이러스가 있는 경우에는 해당 메일을 수신자가 받아보지 못하도록 차단 또는 삭제(361)하고, 바이러스가 없는 경우에는 추가 조치 없이 수신측 메일서버 또는 메일클라이언트(300)에 수신을 허용하는 정보를 전달(362)하여 수신자가 정상적으로 메일을 확인할 수 있도록 허용하는 기능을 한다.
도 4는 본 발명의 바람직한 실시 예에 따른 바이러스메일차단기를 수신측의 메일서버 또는 수신자의 메일클라이언트에 적용된 바람직한 적용 예를 보여주는 블록도이다.
메일이 수신측의 메일 서버에 수신(500)되면, 수신측메일서버(410)은 새로운 메일이 도착하였음을 바이러스메일차단기(420)에 알림과 동시에 분석을 의뢰(411)하게 된다. 바이러스메일차단기(420)은 해당 메일의 내용을 분석하여 바이러스메일인지를 분류해 내게 되고, 바이러스메일로 판단될 경우에는 해당 메일을 삭제 또는 차단하는 처리(430)를 하고, 바이러스 메일로 판단되지 않을 경우에는 해당 메일을 다시 정상적으로 수신측메일서버(410)가 처리할 수 있도록 되돌려 준다(421). 이후 수신자가 사용하는 메일클라이언트(440)가 해당 메일을 불러오도록 수신측 메일서버(410)에 요청하게 될 때 POP3/IMAP/CGI 등의 프로토콜에 따라 메일클라이언트(440)에 메일이 전송되게 된다. 또한 이러한 바이러스메일차단기를 수신자의 메일클라이언트(440)에도 설치할 수 있는데, 이렇게 설치된 바이러스메일차단기(U411)은 메일서버(410)에 설치된 바이러스메일차단기(420)과 마찬가지의 기능을 메일클라이언트(440)에 바이러스 메일 차단 기능을 수행하게 된다. 이렇게 수신측의 메일서버(410)에 설치된 바이러스메일차단기(420) 또는 수신자의 메일클라이언트(440)에 설치된 바이러스메일차단기(U420)에 의하여 바이러스 메일이 제거된 메일리스트를 최종적으로 수신자가 확인(450)하게 된다.
이상과 같이 본 발명의 바람직한 실시예를 예시하여 설명하였으나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상의 범위 내에서 상기한 실시예에 대한 다양한 변경이 가능함은 물론이다.
본 발명에 따르면 수신자의 컴퓨터 시스템과 파일을 감염시키는 의도로 배포되는 바이러스 메일을 원천적으로 차단하기 때문에 수신자는 바이러스 메일로부터 전혀 피해를 입지 않게 된다.
Claims (3)
- 유무선 통신망을 통하여 수신된 전자우편을 분석하여 Contents Part에서 단위 Content에 포함된 파일이 실행 가능한 형식으로 되어 있고 동시에 Content-ID가 존재하는 경우에 이를 바이러스 메일로 탐지해 내는 방식.
- 제1항과 같은 방식의 바이러스 메일 탐지 기능 또는 바이러스 검사 기능을 수행하는 다른 프로그램과 연결 되어 바이러스가 발견된 메일의 경우에는 바이러스 메일을 차단 또는 삭제하고 그렇지 않은 메일일 경우에는 수신을 허용하는 기능을 포함하는 메일 처리 방식.
- 제1항에서 실행 가능한 형식의 파일 이름을 검사하는 방법에서, exe, com, bat, lnk, scr, com, pif 등의 확장자를 검사하는 방식.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0045991A KR100496770B1 (ko) | 2002-08-03 | 2002-08-03 | 바이러스 메일 차단 방법 및 시스템 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0045991A KR100496770B1 (ko) | 2002-08-03 | 2002-08-03 | 바이러스 메일 차단 방법 및 시스템 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040013178A true KR20040013178A (ko) | 2004-02-14 |
KR100496770B1 KR100496770B1 (ko) | 2005-06-23 |
Family
ID=37320534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2002-0045991A KR100496770B1 (ko) | 2002-08-03 | 2002-08-03 | 바이러스 메일 차단 방법 및 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100496770B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100743372B1 (ko) * | 2005-07-04 | 2007-07-30 | 주식회사 안철수연구소 | 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100896319B1 (ko) | 2006-11-23 | 2009-05-07 | 한국전자통신연구원 | 실행 프로그램의 실행 압축 유무 탐지 장치 및 방법 |
-
2002
- 2002-08-03 KR KR10-2002-0045991A patent/KR100496770B1/ko not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100743372B1 (ko) * | 2005-07-04 | 2007-07-30 | 주식회사 안철수연구소 | 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR100496770B1 (ko) | 2005-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
US10084801B2 (en) | Time zero classification of messages | |
US10069851B2 (en) | Managing infectious forwarded messages | |
EP1385303B1 (en) | Method and device for preventing malicious computer code from propagating | |
US7664754B2 (en) | Method of, and system for, heuristically detecting viruses in executable code | |
EP1959367B1 (en) | Automatic extraction of signatures for Malware | |
EP1299791B1 (en) | Method of and system for processing email | |
US6851058B1 (en) | Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk | |
AU2004235515B2 (en) | A method of, and system for, heuristically determining that an unknown file is harmless by using traffic heuristics | |
GB2432933A (en) | Network security apparatus which extracts a data stream from network traffic and performs an initial operation on the data before scanning for viruses. | |
US20090307769A1 (en) | Method and apparatus for providing network security | |
JP3724146B2 (ja) | コンピュータ及びコンピュータウィルス対抗方法並びにコンピュータウィルス対抗プログラムが記録された記録媒体 | |
KR100496770B1 (ko) | 바이러스 메일 차단 방법 및 시스템 | |
US20200097655A1 (en) | Time zero classification of messages |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
N231 | Notification of change of applicant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130614 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20140613 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160812 Year of fee payment: 12 |
|
LAPS | Lapse due to unpaid annual fee |